Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

CISA ເຕືອນໄ​ພຜູ້​ໃຊ້​ Apache Struts 2 ຄວນອັບ​ເດດ​ເ​ເພັດ​ແກ້ໄຂ (Patch)​ ໂດຍດ່ວນ ຫຼັງຈາກ​ມີ​ຄົນປ່ອຍ PoC (Proof of Concept) ຂອງ​ຊ່ອງ​ໂຫວ່ລົ​ງ​ GitHub

CISA ເຕືອນໄ​ພຜູ້​ໃຊ້​ Apache Struts 2 ຄວນອັບ​ເດດ​ເ​ເພັດ​ແກ້ໄຂ (Patch)​ ໂດຍດ່ວນ ຫຼັງຈາກ​ມີ​ຄົນປ່ອຍ PoC (Proof of Concept) ຂອງ​ຊ່ອງ​ໂຫວ່ລົ​ງ​ GitHub
ໜ່ວຍ​ງານ​ Cybersecurity and Infrastructure Security Agency (CISA) ໄດ້​ອອກ​ຄຳ​ເ​ເນະ​ນຳ ​ແລະ ​ເ​ເຈ້ງ​ເຕືອນ​ ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ ແລະ​ ຜູ້​ໃຊ້​ Apache Struts 2 ຄວນ​ອັບ​ເດດ​ເ​ເພັດ (Patch) ​​ເພື່ອ​ເ​ເກ້​ໄຂ​ຊ່ອງ​ໂຫວ່ ​ຫຼັງຈາກທີ່​ພົບ​ວ່າ​ ມີຄົນປ່ອຍ​ PoC (Proof of Concept) ຂອງ​ຊ່ອງ​ໂຫວ່ລົງ GitHub.

ຊ່ອງ​ໂຫວ່​ທີ່​ສຳຄັນ​ ແລະ​ ຄຳ​ເ​ເນະ​ນຳ​ໃຫ້​​ອັບ​ເດດ​​ເ​ເພັດ​ແກ້ໄຂ​ໂດຍດ່ວນ ຄື​: CVE-2019-0230 ແລະ​ CVE-2019-0233 ມີ​ຜົນ​ກະທົບ​ກັບ​ Apache Struts ເວີ​ຊັ່ນ​ 2.0.0 ເຖິງ​ 2.5.20.

ຊ່ອງ​ໂຫວ່​ CVE-2019-0230 ເປັນ​ຊ່ອງ​ໂຫວ່​ ທີ່​ເກີດ​ຈາກ​ການ​​ປະ​ມວນ​ຜົນ​ tag ພາຍໃນ​ attribute ​ຂອງ Object-Graph Navigation Language (OGNL) ເມື່ອ​ Struts ພະຍາຍາມປະ​ມວນ​ຜົນ tag input ພາຍ​ໃນ attribute​s ຊ່ອງ​ໂຫວ່​ຈະ​​ເຮັດ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ທີ່​ສົ່ງ​ OGNL ທີ່​ເປັນ​ອັນຕະລາຍ​ສາມາດເອີ້ນ​ໃຊ້​ໂຄດ​ (Code) ຈາກ​ໄລຍະ​ໄກ​ ຊ່ອງ​ໂຫວ່​ນີ້ ​ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ​ Matthias Kaiser ຈາກ​ Apple Information Security.

ຊ່ອງ​ໂຫວ່​ CVE-2019-0233 ເປັນ​ຊ່ອງ​ໂຫວ່​ໃນ​ການ​ເ​ເກ້​ໄຂ​ສິດ​ໃນ​ການ​ເຂົ້າ​ເຖິງ​ໄຟ​ລ໌​ ໃນ​ລະຫວ່າງ​ການ​ອັບ​ໂຫຼດ​ໄຟ​ລ໌​ ຊຶ່ງ​ອາດຈະ​ເຮັດ​ໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ແກ້​ໄຂ​ຄຳ​ຂໍ​ລະຫວ່າງ​ການ​ດຳ​ເນີນ​ການ​ອັບ​ໂຫຼດ​ໄຟ​ລ໌​ ການ​ດຳ​ເນີນ​ການ​ໃນ​ລັກສະນະ​ນີ້​ຈະ​ສົ່ງ​ຜົນ​ໃຫ້​ໄຟ​ລ໌ທີ່​ອັບ​ໂຫຼດ​ລົ້ມ​ເຫຼວ​ ເມື່ອພະຍາຍາມ​ເຮັດ​ຫຼາຍ​ໆ​ຄັ້ງ ​ອາດ​ຈະເຮັດໃຫ້​ເກີດ​ການ​ປະຕິເສດ​ເງື່ອນ​ໄຂ​ການ​ໃຫ້​ບໍລິການ​ ຫຼື​ Denial of service (DoS) ຊ່ອງ​ໂຫວ່​ນີ້​ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ​ Takeshi Terada ຈາກ​ Mitsui Bussan Secure Directions, Inc.

ຂໍ້ແນະນໍາໃນການປ້ອງກັນ ແລະ ແກ້ໄຂ

CISA ໄດ້​ອອກ​ຄຳ​ເ​ເນະ​ນຳ​ໃຫ້​ຜູ້​ເບິ່ງ​ເ​ເຍງລະບົບ​ ແລະ​ ຜູ້​ໃຊ້​ Apache Struts 2 ຄວນ​​ອັບ​ເດດ​ເ​ເພັດແກ້ໄຂໂດຍດ່ວນ​​ ເປັນ​ Apache Struts ເວີ​​ຊັ່ນ​ 2.5.22 ເພື່ອ​ເ​ເກ້​ໄຂ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ ແລະ ​ປ້ອງ​ກັນ​ຜູ້​ປະສົງ​ຮ້າຍ​ໃຊ້​ປະໂຫຍດ​ຈາກ​ PoC ຂອງ​ຊ່ອງ​ໂຫວ່​ທີ່​ຖືກ​ເປີດ​ພາຍ​ໃນ​ GitHub ເພື່ອໂຈມ​ຕີ​ລະບົບ​.

 

ເອກະສານອ້າງອີງ:

  1. https://us-cert.cisa.gov/ncas/current-activity/2020/08/14/apache-releases-security-advisory-struts-2
  2. https://threatpost.com/poc-exploit-github-apache-struts/158393/
  3. https://www.tenable.com/blog/cve-2019-0230-apache-struts-potential-remote-code-execution-vulnerability
  4. https://www.facebook.com/isecure.mssp/posts/3574864465857612
Porher 24 August 2020 3,578 Print